Google Analyticsin käytöstä taas huomautus Suomessa
Nyt Ilmatieteen laitos sai huomautuksen tietosuojavaltuutetulta Google Analyticsin käytöstä. Perusteluna oli tälläkin kertaa tietojen välittäminen Yhdysvaltoihin ilman käyttäjien suostumusta.
Ilmatieteen laitoksen sivusto reagoi huomautukseen varsin nopeasti ja poisti Googlen tuotteet sivustoltaan. Tämä sama homma lienee edessä monilla muillakin, etenkin julkishallinnossa, jossa on vaikea perustella lupien pyytämistä amerikkalaisen analytiikkasoftan käytölle, kun eurooppalaisiakin vaihtoehtoja löytyy.
Ilmatieteen laitoksen oma tiedote tiivistää tilannetta hyvin:
”Apulaistietosuojavaltuutetun huomautus henkilötietojen käsittelystä koski laitteiden IP-osoitteita eli numerosarjana esitettyä laitteen verkkotunnusta. Käyttäessään Ilmatieteen laitoksen verkkopalvelua, käyttäjän IP-osoitteita on voinut siirtyä Yhdysvaltoihin Googlelle ja siten EU/ETA-alueen ulkopuolelle ilman pätevää henkilötietojen siirtoperustetta. Tietosuojalainsäädännössä IP-osoitteet katsotaan henkilötiedoiksi.
Molemmat sivustolaajennuspalvelut on poistettu Ilmatieteen laitoksen verkkopalvelusta. Myös yleinen, Googlen palvelua hyödyntänyt hakutoiminto on poistettu verkkopalvelusta. Googlesta riippumaton paikallissäähaku on edelleen käytössä.
Google Analytics -palvelua käytettiin Ilmatieteen laitoksella verkkosivuston kävijämäärän seurantaan. Tietoa hyödynnettiin verkkosivujen käyttökokemuksen parantamiseen sekä verkkosivujen palveluiden kehittämiseen. Ilmatieteen laitos ei tunnistanut yksittäisiä käyttäjiä. Google Analytics on ollut aikaisemmin hyväksytty ja laajasti käytetty verkkopalveluiden kävijäseurantaan, mutta tiukentuneiden tietosuojalainsäädännön tulkintojen mukaan sitä ei enää saa käyttää.”
Tilannehan ei ole mitenkään olennaisesti muuttunut viime aikoina. Tässäkin blogissa on tästä aiheesta kirjoitettu lukuisia kertoja. Ainut asia, mikä on muuttunut, on tietosuojavaltuutetun aktiivisempi linja huomautusten antamiseen aiheesta.
Periaatteessa tämä asia ei liity mitenkään erityisesti Google Analyticsiin. Kyse on siitä, että EU:n ja USA:n välillä ei ole voimassa olevaa sopimusta henkilötietojen käsittelystä. Käytännössä vaikuttaa kuitenkin siltä, että tämä viranomaisten aktiivisuus kohdistuu toistaiseksi vain asiakkaiden laajasati käyttämiin verkkosivustoihin ja asiointipalveluihin – ja ehkä vielä rajatummin voi sanoa, että toistaiseksi huomautukset ovat koskeneet julkisia palveluita, joiden käyttäjinä on ainakin potentiaalisesti kuka tahansa kansalainen.
Tietosuojavaltuutetun omassakin uutisessa tehdään selväksi, että kyse on nimenomaan henkilötietojen perusteettomasta siirtämisestä Yhdysvaltoihin.
”Apulaistietosuojavaltuutettu on antanut Ilmatieteen laitokselle huomautuksen henkilötietojen siirtämisestä Yhdysvaltoihin verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta. Lisäksi Ilmatieteen laitos oli jättänyt tekemättä tietosuojaa koskevan vaikutustenarvioinnin kansainvälisistä tiedonsiirroista.”
Tulkinta varmaan laajenee jossain vaiheessa, joten käytännössä kaikkien, jotka käyttävät Google Analyticsia, tai jotain muuta seurantateknologiaa, jonka data siirtyy Yhdysvaltoihin, kannattaa miettiä vaihtoehtoisia ratkaisuja. Julkisten digipalveluiden tarjoajille tilanne alkaa jo olla melko kriittinen. Jos oma palvelu on yhtään Ilmatieteen laitoksen kaltainen yleishyödyllinen verkkosivusto, ja edelleen nojaa Google Analyticsiin, kannattaa muutoksia tehdä nopeasti.
Tässä ei myöskään ole kyse evästelupakyselyistä, koska kuten tietosuojavaltuutetun uutisessakin todetaan, tietoja ei saisi siirtää pelkän evästeluvan antamisen perusteella.
”Apulaistietosuojavaltuutettu muistuttaa, että EU- ja ETA-alueen ulkopuolelle tehtävien tiedonsiirtojen perusteena ei voida käyttää esimerkiksi rekisteröidyltä evästeiden käyttöön hankittavaa suostumusta.”
Hyviä eurooppalaisia vaihtoehtoja on onneksi varsin runsaasti. Matomo ja Piwik Pro ovat kumpikin hyviä valintoja, ja kumpikin huomattavasti helpompia asentaa ja käyttää kuin esimerkiksi varsin monimutkaiseksi työkaluksi muuttunut Google Analytics 4. Muitakin työkaluja löytyy, etenkin jos astetta yksinkertaisempi analytiikka riittää. Esimerkiksi tämän blogin tilastoja seurataan Plausible-työkalulla, joka tarjoaa varsin hyvän yleiskuvan verkkopalvelun käytöstä ilman yksittäisten käyttäjien seurantaa (saatika ärsyttävää evästekyselylappua).
Aiheesta uutisoi myös MTV verkkosivuillaan, ja myös tämä juttu toteaa kyse olevan Google Analyticsia laajemmasta asiasta. Monien organisaatioiden verkkokaupat ja asiointipalvelut esimerkiksi hyödyntävät Amazonin AWS:aa tai Microsoftin Azurea, ja yleensä tämä ongelma henkilötietojen siirtymisestä Yhdysvaltoihin koskettaa myös tällaisia tilanteita.
Onkin oletettavaa, että näiden analytiikka- ja seurantatyökalujen jälkeen tulilinjalle joutuvat laajasti käytetyt asiointipalvelut, joissa siirretään ja käsitellään henkilötietoja. Tällöin kohteeksi voivat tulla etenkin isot verkkokaupat, ja erityisesti kaupat joiden ostohistoria voi olla jollain tapaa USA:n tiedusteluorganisaatioita kiinnostavaa – esimerkiksi apteekit ja muut terveystuotteiden kaupat.
EU:n ja myös kotimaisten viranomaisten valvontatyö on kuitenkin tähän mennessä ollut erittäin laiskaa. Tälläiset huomautukset tuskin vielä saavat yritykset tekemään satojen tuhansien eurojen järjestelmäremontteja, mutta jos nyt tämä valvontajuna onkin ollut hidas, on se puksuttanut koko ajan, joten ainakaan täyskäännöksiä tuskin on odotettavissa.
Perttu Tolvanen
Perttu on Vierityspalkin päätoimittaja ja kirjoittaja.
Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja toinen perustaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton konsulttiyhtiö, joka suunnittelee digitaalisia palveluita ja auttaa asiakkaita onnistumaan uudistushankkeissaan. Ota yhteyttä Perttuun!
7 kommenttia on “Google Analyticsin käytöstä taas huomautus Suomessa”
Kommentointi on suljettu.
Jukka
Muutama huomio viimeaikaisista tietosuoja-asioista:
1. Ensiksi hetkinen: mitä nänä “satojen tuhansien euirojen” remontit oikein ovat? Kolmanen osapuolen turhan roskan siivoaminen sivustoilta vaatii enintään yhden päivän työn (muutamalla tunnilla pitäisi selvitä, jos ylläpito on ylipäätänsä hallussa).
2. EU/ETA-alueen ulkopuoliset siirrot erityisesti Yhdysvaltoihin tulevat olemaan ongelma vielä vuosikymmeniksi. Vaikka Helsingin Sanomat jo ehti hehkuttaa presidentti Bidenin lanseeraamaa uutta sopimusta, on miltei täysin selvää, että sopimus tulee jälleen kaatumaan oikeudessa, koska mitään kunnollisia reformeja ei ole Yhdysvalloissa tehty. Euroopan parlamentti myös otti lähes yksimielisesti negatiivisen kannan sopimukseen.
3. Hiljattain lanseerattu ryhmäkannedirektiivi tulee olemaan iso asia myös GDPR:n osalta. Suomessa direktiivi tulee voimaan tämän vuoden loppupuolella. Alankomaissa kanteita on jo vireillä useita. On myös odotettavissa, että isoja koko Eurooppaa kattavia ryhmäkanteita tullaan nostamaan erityisesti teknologiajättejä vastaan. En usko, että suomalaisten yritysten kannattaa sinällään olla huolissaan esimerkiksi kansainvälisten tiedonsiirtojen osalta, mutta laajamittaisissa tietomurto- ja vuototapauksissa voidaan kenties odottaa myös kotimaisia kanteita. Julkinen sektori ei myöskään enää pääse pälkähästä.
Perttu Tolvanen
Kiitos kommentista, Jukka.
Vastauksena tuohon ekaan kohtaan: Tuossa siis viittaan siihen, että jos pitää vaihtaa pois jostain Amazonin AWS:sta ja siirtyä johonkin vaikkapa UpCloudin kaltaiseen ympäristöön, joka on varmasti Euroopassa. Tai jos joku verkkokauppa on vaikka Salesforcen päällä, jolloin koko verkkokauppa pitää uudistaa, jos haluaa saada henkilötiedot pois USA:sta.
Nämä analytiikkatyökalut ovat tosiaan aivan helppoja juttuja vielä.
Mutta on tuolla esim. mediataloissa myös ihan tän nykytilanteenkin kanssa aikamoisia ongelmia, jos esim. mainostenjakelujärjestelmä sattuu olemaan hostattuna Euroopan ulkopuolella, nekin remontit on satoja tuhansia euroja hyvin nopeasti.
Jukka
Toki nämä kansainväliset tiedonsiirrot ovat vaikeita asioita. AWS lienee suhteellisen turvallinen maantieteellisen sijainnin osalta, mutta sijainti itsessäänhän on aika vanhanaikaista ajattelua, kun FISA] 702 ja toimeenpanoasetus E.O. 12333 antavat kuitenkin pääsyn yhdysvaltalaisyritysten tietoihin sijainnista huolimatta. Toinen asia ovat nämä pilvipalveluiden alinhankkijat, joita saattaa olla ympäri maailmaa hyvinkin epämääräisissä paikoissa.
Tuskin kukaan suomalainen yritys näistä oikeuteen joutuu, mutta on varmasti yrityksiä, joilla on perusteltu intressi pitää ainakin osa tiedoistansa kotimaassa.
Huolestuttavampana kansalaisen näkökulmasta pidän sitä, että valtiohallinto on vastalauseista huolimatta innokkaasti siirtymässä pilvipalveluihin (mukaan lukien mm. Office 365, joka vuotaa kuin seula Microsoftin AI-koneiston syötteeksi). Vastaavasti esim. peruskoulutussektorilla käytetään Google Education ja muita vastaavia palveluita eli jopa lapset päätyvät suoraan (kaupallisen) seurantakoneiston osaksi.
Mutta ei siinä mitään: hyvin ovat yhdysvaltalaiset yritykset onnistuneet valtiota lobbaamaan.
Perttu Tolvanen
Jep, oikeassa olet, ratkaisevaahan on nykyisin se yrityksen kotimaa. Jos kotimaa on USA, on USA:n tiedusteluorganisaatioilla mahdollisuus päästä tietoihin käsiksi, vaikka ne tiedot fyysisesti sijaitsisivat jossain muualla kuin USA:ssa.
Microsoftin Office 365 on tosiaan yllättävänkin kyseenalainen lelu, jos sitä ryhtyy tarkemmin tarkastelemaan. Käsittääkseni esim. operointi tapahtuu paljolti Intiasta yms paikoista, jotka eivät tule olemaan edes EU:n ja USA:n tulevan sopimuksen piirissä (jos sellainen tulee).
Vaihtoehtoisen toimintamallin käyttöönotto olisi kuitenkin valtava operaatio ja investointi, ja aiheuttaisi ihan käytännössä aika paljon ongelmia yhteistyöhön muiden organisaatioiden kanssa. Jos esim. ei pystyisi käyttämään Teamsia ollenkaan, olisi monessa työelämän tilanteessa aika isoissa ongelmissa. Mikä olisi realistinen vaihtoehto, johon voisi myös ne muut osapuolet ohjata?
Eli kyllähän tämä vaatii jonkun ihan täydellisen kansainvälisen ja poliittisen kriisin, jotta yksittäiset organisaatiot ryhtyisivät oikeasti remontoimaan tekemistään pois noista isoista pilviympäristöistä. Ja mielestäni ongelma on myös se vaihtoehtojen puute, eli käytännössä pitäisi tapahtua kriisi, joka pakottaisi teknologiajätit tekemään täysin erilliset ”Eurooppa-versiot” omista tuotteistaan (esim. Teams, esim. Googlen tuotteet, esim. Facebook), ja näiden versioiden omistajuus pitäisi sit varmaan olla jonkinlaisten hyvin itsenäisten eurooppalaisten tytäryhtiöiden sisällä, eivätkä nämä voisi jakaa dataa muun maailma versioiden kanssa ollenkaan.
Perttu Tolvanen
Apulaistietosuojavaltuutettu korjasi/tarkensi tätä alkuperäistä päätöstä. Helsingin Sanomatkin kirjoittaa aiheesta, mutta eivät tosin hekään lähde avaamaan sitä, että mitä tuo mahdollisesti nyt tarkoittaa, mutta ilmeisesti alkuperäisestä päätöksestä ovat jotkut tahot tehneet aika isoja johtopäätöksiä (mitä en ihmettele varsinaisesti).
https://www.hs.fi/kotimaa/art-2000009628061.html
Lainaus jutusta:
“Apulaistietosuojavaltuutettu kertoo nyt, että uudessa päätöksessä ei enää ollenkaan arvioida yleisen tietosuoja-asetuksen 35 artiklan mukaista vaikutustenarvioinnin noudattamista.
”Uudelleenarvioinnin perusteella halusimme varmistaa, ettei ratkaisumme synnytä sellaista linjausta, joka vaatisi suomalaisilta rekisterinpitäjiltä laajempia toimenpiteitä kuin muilta EU-valtioiden rekisterinpitäjiltä”, sanoo apulaistietosuojavaltuutettu Annina Hautala STT:lle.
Valtuutettu pitää kuitenkin ennallaan huomautuksen siitä, että Ilmatieteen laitos siirsi henkilötietoja Yhdysvaltoihin verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta.”
Kanerva
Jos nyt puhutaan pelkästään Google Analyticsista, niin onko merkitystä sillä, että Google Analytics 4:ssä IP-osoitteet anonymisoidaan automaattisesti? Jos ei ole käytössä muita Googlen palveluja, niin olisiko tietojen siirto anonymisoinnin jälkeen hyväksyttävää, vai siirtyykö Analyticsin kautta muitakin henkilötietoja kuin IP-osoite?
Perttu Tolvanen
Tietosuojavaltuutetun linja on ollut näissä viimeisimmissä päätöksissä se, että anonymisointi ei auta Googlen kohdalla, koska Google voi kuitenkin teoriassa tunnistaa sen henkilön perustuen muilla sivustoilla tai Googlen omissa palveluissa tehtyihin asioihin. Eli yksilöitävissä olevaa käyttäytymistietoa ei saa siirtää Yhdysvaltoihin, ainakaan Google Analyticsin tapauksessa, vaikka sen anonymisoisikin esim. IP-osoitteen poistamalla. Tämä on siis vain Googlea koskeva linjaus, ja liittyy enemmänkin siihen, että Googlea ei pidetä luotettavana tahona tällaisen anonymisoinnin toteutukseen (tai eihän tätä kukaan sano oikein ääneen, mutta tästähän tässä on kysymys, että teknologiajättiläinen jonka bisnes on käyttäjien profilointi ja mainosten myynti, ei ole EU:n näkökulmasta oikein luotettava anonyymin datan tallentaja, ja tässä ajattelussa on minustakin ihan vinha perä).
Anonymisointi siis auttaa monien muiden analytiikkatyökalujen kohdalla paljonkin siihen, että tarvitaanko käyttäjältä kysyä erikseen lupaa tietojen keräämiseen, mutta Googlen tapauksessa tämä ei ole riittävää, koska teknologiajättiläisyys ja maailman isoin mainosten myyjä yms :)